Oracle安全實踐

致謝
作者簡介
技術編輯
第1章 Oracle安全概述
引言
Oracle安全特性的歷史簡介
權限控制
網絡
審計
口令管理
數(shù)據(jù)分區(qū)
Oracle 10g和更高版本
管理環(huán)境驅動的數(shù)據(jù)庫安全
主要的數(shù)據(jù)竊取事件
CardSysteins SOlutions——2005年6月
ChoicePoint——2005年2月
TJX——2007年1月
退伍軍人事務部——2006年5月
漸進地保證Oracle安全
對每個種類數(shù)據(jù)庫系統(tǒng)合適的安全
小結
快速解決方案
常見問題
第2章 文件系統(tǒng)
引言
了解文件
數(shù)據(jù)
日志
軟件
檢查推薦的許可
操作系統(tǒng)基礎
軟件許可
非軟件許可
管理變更
小結
快速解決方案
常見問題
第3章 TNS監(jiān)聽器安全
引言
TNS監(jiān)聽器介紹
監(jiān)聽器組件
監(jiān)聽器命令
Oracle 10g監(jiān)聽器變更
監(jiān)聽器可能是攻擊缺陷的主要來源
由于設計導致的監(jiān)聽器缺陷
不存在賬號停用
以明文傳輸?shù)目诹?br />使用口令或者哈?？诹畹尿炞C
通過應用Oracle補丁集和CPU來修補監(jiān)聽器缺陷
監(jiān)聽器DoS攻擊
監(jiān)聽器緩存區(qū)溢出攻擊
保證監(jiān)聽器配置安全
監(jiān)聽器安全/監(jiān)聽器口令
ADMIN—RESTRICTIONS
監(jiān)聽器日志和跟蹤
ExtProc
有效的節(jié)點檢查
小結
快速解決方案
常見問題
第4章 管理默認賬號
引言
從9i到10g的Oracle默認賬號角色
默認賬號
鎖定賬號和中止默認口令
配置強口令
解除賬號鎖定和配置強口令
Oracle的哈希口令算法
定義強口令
配置強口令
自動控制鑒別默認賬號的過程
創(chuàng)建自己的默認口令掃描腳本
使用一種免費可用的默認口令掃描器
使用一種商業(yè)化的數(shù)據(jù)庫缺陷掃描器
小結
快速解決方案
常見問題
第5章 PUBLIC特權
引言
PUBLIC組
簡單介紹：Oracle特權和角色
授予PUBLIC的角色
敏感函數(shù)上的默認特權
DBMS RANDOM
UTL—FILE
UTL—HTTP
UTL—SMTP
UTL—TCP
從來不應該授予PUBUC的特權
系統(tǒng)特權
SYS模式中的對象特權
使用一般的意義
小結
快速解決方案
常見問題
第6章 軟件升級
引言
理解Oracle的軟件補丁思想
安全
成本
平臺
檢查CPU
評估風險矩陣
作用于安全顧問
安裝關鍵的補丁升級
計劃
測試和配置
評估安全警告
小結
快速解決方案
常見問題
第7章 口令和口令管理
支付卡的行業(yè)數(shù)據(jù)安全標準
小結
快速解決方案
常見問題
引言
配置強口令
什么使口令變弱？
非生產系統(tǒng)的口令
使用Oracle配置文件進行口令管理
Oraele配置文件
失敗的登錄嘗試
口令生命周期
PASSWORDREUSEMAX
口令重用時間
口令鎖定時間
口令彈性時間
口令驗證功能
分配配置文件給用戶
操作系統(tǒng)驗證
遠程操作系統(tǒng)驗證
操作系統(tǒng)驗證前綴
創(chuàng)建并鑒別操作系統(tǒng)驗證的用戶
對弱口令的自動掃描
免費口令掃描器
商業(yè)的口令掃描器
小結
快速解決方案
常見問題
第8章 數(shù)據(jù)庫事件監(jiān)測
引言
數(shù)據(jù)庫入侵101
映射SQL
HTTP服務器
直接訪問數(shù)據(jù)庫
Oracle監(jiān)聽器
探測已知的攻擊模式
檢測可疑的事件
追蹤攻擊者
遵循政府法規(guī)和行業(yè)規(guī)則
Sarbanes-OxleyAct
（3ramm-Leach-BlileyAct
加利福尼亞參議員議案1386
健康保險：可攜帶和可說明性的操作
第9章 執(zhí)行指南
引言
開始
執(zhí)行基本安全
執(zhí)行最佳實踐
鎖定你的數(shù)據(jù)庫
小結
快速解決方案
常見問題